Pagtuturo
sa pamamaraan para sa accounting, pagpapalabas at paglipat ng mga paraan ng proteksyon ng cryptographic
impormasyon, Electronic Signature, pagpapatakbo at teknikal
dokumentasyon at mahahalagang dokumento
1. Accounting para sa cryptographic information protection (CIPF), operational teknikal na dokumentasyon sa CIPF, ang mga pangunahing dokumento at ES ay inayos alinsunod sa mga kinakailangan ng "Mga tagubilin sa organisasyon at seguridad ng imbakan, pagproseso at paghahatid sa pamamagitan ng mga channel ng komunikasyon gamit ang cryptographic na proteksyon ng impormasyon na may limitadong pag-access na hindi naglalaman ng impormasyong bumubuo lihim ng estado”, inaprubahan ng utos pederal na ahensya Government Communications and Information (FAPSI) sa ilalim ng Pangulo Pederasyon ng Russia na may petsang 01.01.2001 No. 152 (mula rito ay tinutukoy bilang Instruction No. 152), Mga Panuntunan para sa paggamit ng CIPF, na inaprubahan ng developer ng CIPF.
2. Ang paghahatid ng CIPF sa organisasyon ay dapat isagawa sa pamamagitan ng courier communication (espesyal na komunikasyon), o direkta ng isang empleyado ng organisasyon mismo, sa parehong paraan, ang CIPF ay dapat ilipat sa end user, alinsunod sa clause 32 ng Tagubilin Blg. 000.
3. Ang pamamaraan para sa pag-iimpake ng CIPF ay dapat sumunod sa mga kinakailangan ng sugnay 33, sugnay 34 ng Tagubilin Blg. 000.
4. Ang paglipat ng CIPF ay pinapormal sa pamamagitan ng mga sertipiko ng pagtanggap, o kinumpirma ng kasamang mga dokumento sa pagpapadala.
5. Kapag ang CIPF ay inilipat ng isang awtorisadong courier, ang courier ay pumipirma sa mga sertipiko ng pagtanggap at paglipat ng CIPF, ang petsa at numero ng aksyon ay ipinasok sa mga nauugnay na rehistro.
6. Ang instance accounting ng CIPF na nagmumula sa mga developer, manufacturer at supplier ng CIPF ay dapat itago sa Journal of instance accounting ng CIPF, operational at teknikal na dokumentasyon para sa kanila, mga pangunahing dokumento (para sa may-ari ng kumpidensyal na impormasyon) (clause 26, Appendix Instruction Hindi. 000). Ang accounting ay pinananatili ng responsableng gumagamit ng mga tool sa cryptographic.
7. Isang halimbawa ng paggawa ng entry sa Journal ng indibidwal na accounting ng CIPF, pagpapatakbo at teknikal na dokumentasyon para sa kanila, mga pangunahing dokumento (para sa may-ari ng kumpidensyal na impormasyon) ay ipinakita sa talahanayan 1.
Talahanayan 1.
Hindi. p/p | marka ng resibo | Marka ng isyu | Marka ng koneksyon (pag-install) CIPF | Isang tala sa pag-alis ng proteksyon ng cryptographic na impormasyon mula sa hardware, ang pagkasira ng mga pangunahing dokumento | Tandaan |
||||||||||
Kung kanino nakatanggap | petsa at numero cover letter | Buong pangalan ng gumagamit ng CIPF | Buong pangalan ng mga empleyado ng awtoridad sa proteksyon ng cryptographic, ang gumagamit ng CIPF na gumawa ng koneksyon (pag-install) | Petsa ng koneksyon (pag-install) at mga lagda ng mga taong gumawa ng koneksyon (pag-install) | Bilang ng hardware kung saan naka-install o nakakonekta ang CIPF | Petsa ng pag-withdraw (pagkasira) | Buong pangalan ng mga empleyado ng awtoridad sa proteksyon ng cryptographic, ang gumagamit ng CIPF, na gumawa ng withdrawal (pagsira) | Tandaan |
|||||||
Tachograph Mercury TA-001 | 19С3А00113906524 | LLC "Infocenter" | No. 000 na may petsang 04/14/15 | ||||||||||||
USB-device na C-Terra "Post" | 8544391000321DFA | LLC "Infocenter" | No. 000 na may petsang 04/14/15 | istasyon ng terminal ng Kraftway | |||||||||||
Tachograph card na "Diamond" | RUX1234567891234 | LLC "Infocenter" | No. 000 na may petsang 04/14/15 | Sertipiko ng pagtanggap at paglilipat na may petsang 01/01/2001 |
8. Ang lahat ng mga kopya ng CIPF, pagpapatakbo at teknikal na dokumentasyon para sa kanila, mga pangunahing dokumento na inilipat sa mga ikatlong partido ay dapat maibigay ayon sa aksyon ng pagtanggap at isasaalang-alang sa naaangkop na Journal ng instance-by-instance accounting ng CIPF, operational at teknikal na dokumentasyon para sa kanila, mga pangunahing dokumento (para sa awtoridad sa proteksyon ng cryptographic) (p. 26, Appendix sa Tagubilin Blg. 152). Ang accounting ay pinananatili ng responsableng gumagamit ng mga tool sa cryptographic.
9. Ang isang halimbawa ng paggawa ng entry para sa accounting ng CIPF sa paglipat sa isang third-party na organisasyon ay ipinakita sa talahanayan 2.
Talahanayan 2.
Hindi. p/p | Pangalan ng CIPF, pagpapatakbo at teknikal na dokumentasyon para sa kanila, mga pangunahing dokumento | Mga serial number ng CIPF, pagpapatakbo at teknikal na dokumentasyon para sa kanila, mga serye ng numero ng mga pangunahing dokumento | Kinokopya ang mga numero (cryptographic number) ng mga pangunahing dokumento | marka ng resibo | ibalik ang tala | Petsa ng pagpasok sa puwersa | Petsa ng paglabas | Markahan ang pagkasira ng CIPF, mga pangunahing dokumento | Tandaan |
|||||||
Kung kanino nakatanggap o buong pangalan ng empleyado ng OKZ na naghanda ng mga pangunahing dokumento | Petsa at numero ng cover letter o petsa ng paggawa ng mga pangunahing dokumento at resibo sa produksyon | Kung kanino nagpadala | petsa at numero kasamang dokumento | Petsa at bilang ng kumpirmasyon o pagtanggap ng resibo | Petsa at bilang ng kasamang dokumento | Petsa at numero ng kumpirmasyon | Petsa ng pagkawasak | Bilang ng kilos o pagtanggap ng pagkasira | Tandaan |
|||||||
Tachograph Mercury TA-001 | 19С3А00113906524 | LLC "Infocenter" | No. 000 na may petsang 04/14/15 | Sertipiko ng pagpapalabas / pagbabalik ng kagamitan / software / card 000000027 na may petsang 01.01.2001 10:04:59 | Sertipiko ng pagpapalabas / pagbabalik ng kagamitan / software / card 000000027 na may petsang 01.01.2001 10:04:59 | |||||||||||
I-stitch ang KKM | LLC "Infocenter" | No. 000 na may petsang 04/14/15 | ||||||||||||||
Tachograph Mercury TA-002 | 15С3А0078906111 | LLC "Infocenter" | No. 000 na may petsang 04/14/15 |
10. Ang responsableng gumagamit ng mga cryptographic na tool ay nagbubukas at nagpapanatili para sa bawat gumagamit ng CIPF (bawat organisasyon kung saan inilipat ang CIPF) ng isang personal na account kung saan inirehistro niya ang CIPF na nakatalaga sa kanila, pagpapatakbo at teknikal na dokumentasyon para sa kanila, mga pangunahing dokumento. Inirerekomenda uri ng anyo ang personal na account ng gumagamit ng CIPF ay ipinakita sa apendiks sa Tagubilin na ito.
11. Ang isang halimbawa ng pagpapanatili ng isang personal na account ng isang gumagamit ng CIPF ay ipinakita sa talahanayan 3.
Talahanayan 3
Pangalan ng CIPF, pagpapatakbo at teknikal na dokumentasyon para sa kanila, mga pangunahing dokumento | Kinokopya ang mga numero (cryptographic number) ng mga pangunahing dokumento | Responsableng tagapagpatupad | Tandaan |
|||||
Tachograph Mercury TA-001 | 19С3А00113906524 | No. 000 na may petsang 04/14/15 | Sertipiko ng pagpapalabas / pagbabalik ng kagamitan / software / card 000000027 na may petsang 01.01.2001 10:04:59 | |||||
I-stitch ang KKM | No. 000 na may petsang 04/14/15 | |||||||
Tachograph Mercury TA-002 | 15С3А0078906111 | No. 000 na may petsang 04/14/15 |
12. Lahat ng natanggap, ginamit, inimbak o inilipat na CIPF, operational at teknikal na dokumentasyon para sa kanila, ang mga pangunahing dokumento ay napapailalim sa copy accounting. Ang unit ng copy accounting ng mga pangunahing dokumento ay itinuturing na isang magagamit muli na key carrier, isang key notepad. Kung ang parehong key medium ay paulit-ulit na ginagamit upang i-record ang mga crypto key, dapat itong irehistro nang hiwalay sa bawat oras.
Ang mga instance accounting unit ay maaaring:
eToken (pcs.) – key carrier;
JKarta (pcs.) - key carrier;
Tachograph (pcs.) - hardware kung saan naka-install o nakakonekta ang CIPF;
I-block ang NKM (pcs.) - hardware CIPF;
CIPF form (kopya) - pagpapatakbo o teknikal na dokumentasyon.
13. Ang isang halimbawa ng paggawa ng entry sa Technical (hardware) journal ay ipinakita sa Talahanayan 4.
Talahanayan 4
№ | petsa ng | Uri at numero ng pagpaparehistro ng CIPF | Talaan ng pagpapanatili | Ginamit na mga crypto key | marka ng pagkasira (pagtanggal) | Tandaan | ||||
Uri ng pangunahing dokumento | Serial number at kopya ng pangunahing dokumento | Crypto carrier number | Petsa ng pagkawasak | Responsable para sa pagkawasak | ||||||
USB-device na C-Terra "Post" Numero ng pagpaparehistro 2 | Baguhin ang PIN | USB device | 8544391000321Instance 1 ng DFA | |||||||
14. Accounting para sa CIPF, ES tool, operational at teknikal na dokumentasyon, mga pangunahing dokumento at impormasyon ay dapat ayusin sa papel na media o sa sa elektronikong pormat gamit ang isang awtomatikong sistema ng impormasyon, na dapat matukoy sa pamamagitan ng pagkakasunud-sunod ng pinuno ng organisasyon, tingnan ang fig. isa.
15. Ang paglipat ng CIPF, pagpapatakbo at teknikal na dokumentasyon para sa kanila, mga pangunahing dokumento ay pinapayagan lamang sa ilalim ng pagkilos ng pagtanggap at paglilipat at paggawa ng isang entry sa mga nauugnay na journal ng kopya ng accounting.
16. Inirerekomenda na ang responsableng gumagamit ng mga cryptographic na tool sa organisasyon ay humirang ng isang taong responsable para sa pagtiyak ng seguridad ng personal na data sa sistema ng impormasyon personal na data.
17. Pagsasagawa ng mga direktang operasyon para sa accounting ng CIPF, pagpapatakbo at teknikal na dokumentasyon para sa kanila, mga pangunahing dokumento, alinsunod sa mga pananagutan sa pagganap at mga tagubilin, ay itinalaga sa administrator ng seguridad ng impormasyon o isang tao na may kaugnay na mga responsibilidad sa pagganap.
______________________
Apendise
sa Instruksyon sa pamamaraan para sa accounting para sa pagpapalabas at paglipat ng mga paraan ng proteksyon ng cryptographic
impormasyon, electronic signature, operational at teknikal na dokumentasyon at mga pangunahing dokumento
CRYPTOS USER PERSONAL ACCOUNT
_____________________________________________________________________________________________
(pangalan ng organisasyon o buong pangalan at posisyon ng empleyado)
№p\p | Pangalan ng CIPF, pagpapatakbo at teknikal na dokumentasyon para sa kanila, mga pangunahing dokumento | Mga numero ng pagpaparehistro ng CIPF, pagpapatakbo at teknikal na dokumentasyon para sa kanila, mga serye ng numero ng mga pangunahing dokumento | Kinokopya ang mga numero (cryptographic number) ng mga pangunahing dokumento | Numero at petsa ng kasamang dokumento sa oras na matanggap | Numero at petsa ng kasamang dokumento sa paglipat | Responsableng tagapagpatupad | Tandaan |
|
___________________________
LISTAHAN NG SANGGUNIAN
Dami:
Presyo: 35
Isang diskwento: %?
Mayroon kaming sistema ng mga diskwento
kumuha ng higit pa - magbayad ng mas mababa
kapag nag-order mula sa 50 pcs. - 5% na diskwento
kapag nag-order mula sa 100 pcs. - 10% na diskwento
kapag nag-order mula sa 300 pcs. - 15% na diskwento
kapag nag-order mula sa 500 pcs. - 20% na diskwento
kapag nag-order mula sa 1000 pcs. - 25% na diskwento
Sum:
kasama ang VAT 20%
X
Umorder ka ulit ng manipis na magazine.
Marahil ay kailangan mo ng isang magazine na may higit pang mga pahina at iba pang mga katangian.
Mangyaring gamitin calculator
Paraan ng proteksyon ng impormasyon ng cryptographic (CIPF) ngayon ang mga ito ay ginagamit sa halos lahat ng mga kumpanya, maging kapag nakikipagpalitan ng data sa mga katapat, o kapag nakikipag-usap at nagpapadala ng mga order ng pagbabayad sa isang bangko, gamit ang programa ng bangko ng kliyente.
Ngunit hindi alam ng lahat na ayon sa batas, ang mga susi sa pag-encrypt ay dapat isaalang-alang.
Sa artikulong ito, magsasalita ako tungkol sa accounting para sa proteksyon ng cryptographic na impormasyon at magbigay ng mga link sa mga legal na aksyon ng Russian Federation.
Ang mga pangunahing batas na namamahala sa CIPF ay:
Order ng Federal Security Service ng Russian Federation noong Pebrero 9, 2005 N 66 "Sa pag-apruba ng Regulasyon sa pagbuo, paggawa, pagbebenta at pagpapatakbo ng mga tool sa seguridad ng impormasyon sa pag-encrypt (cryptographic) (Regulation PKZ-2005)"
Kautusan ng FAPSI ng Hunyo 13, 2001 N 152 "Sa pag-apruba ng Instruksyon sa pag-aayos at pagtiyak ng seguridad ng imbakan, pagproseso at paghahatid sa pamamagitan ng mga channel ng komunikasyon gamit ang cryptographic na proteksyon ng impormasyon na may limitadong pag-access na hindi naglalaman ng impormasyon na bumubuo ng isang lihim ng estado" at Appendix sa FAPSI order RF na may petsang Hunyo 13, 2001 N 152
Kung titingnan mo ang FSB order No. 66 sa apendiks sa talata 48, makikita mo ang sumusunod na nilalaman:
48. Ang CIPF at ang kanilang mga prototype ay napapailalim sa kopya ng accounting gamit ang mga indeks o kondisyong pangalan at mga numero ng pagpaparehistro. Ang listahan ng mga index (conventional names) at mga numero ng pagpaparehistro para sa copy accounting ng CIPF at ang kanilang mga prototype ay tinutukoy ng FSB ng Russia.
Ang organisasyon ng instance-by-instance accounting ng mga prototype ng CIPF ay itinalaga sa developer ng CIPF.
Ang organisasyon ng copy accounting ng mga ginawang cryptographic information protection tool ay itinalaga sa tagagawa ng cryptographic information protection tool.
Ang organisasyon ng instance-by-instance accounting ng ginamit na CIPF ay itinalaga sa customer ng CIPF.
Nangangahulugan ito na kahit na simpleng kumpanya, na hindi nakikibahagi sa paglikha at pagbebenta ng mga tool sa proteksyon ng cryptographic na impormasyon, ay nagpasya na bumili ng ilang eToken USB key, dapat pa rin silang i-account at italaga sa end user, iyon ay, ang empleyado. At sa medyo legal na batayan Maaaring suriin ng FSB ang accounting sa pamamagitan ng pagdating sa opisina ng anumang kumpanya.
Ang accounting na ito ng mga paraan ng cryptographic na proteksyon ng impormasyon ay dapat na itago sa isang espesyal na journal, at kahit na mas mahusay sa karagdagan at sa elektronikong anyo, kung saan ang sumusunod na impormasyon ay dapat isaalang-alang:
1. ano ang inilabas
2. sa kanilang inilabas
3. sino ang tumanggap
4. na pumasa
5. tanda ng pagkawasak
Kinakailangang isaalang-alang ang mga electronic key mismo, mga pangunahing carrier, software na gumagawa ng cryptographic na pagbabago ng impormasyon, mga lisensya para sa karapatang gamitin ang CIPF.
Kaya, ang CIPF para sa accounting ay dapat nahahati sa:
key carrier- isang pisikal na carrier ng isang tiyak na istraktura, na nilayon para sa paglalagay ng pangunahing impormasyon dito (paunang pangunahing impormasyon). Ginagawa ang pagkakaiba sa pagitan ng iisang key medium (table, punched tape, punched card, atbp.) at reusable key medium (magnetic tape, floppy disk, CD, Data Key, Smart Card, Touch Memory, atbp.).
pangunahing dokumento- isang pisikal na carrier ng isang tiyak na istraktura na naglalaman ng pangunahing impormasyon (paunang pangunahing impormasyon), at, kung kinakailangan, kontrol, serbisyo at teknolohikal na impormasyon; (sa katunayan, ito ay isang medium na may naitalang lihim na susi)
Pamamahagi ng CIPF- ang software mismo CryptoPro CSP, dito dapat mong isaalang-alang ang numero ng pamamahagi, na makikita sa form sa CIPF)
lisensya ng CIPF- ay hindi isang tool sa pag-encrypt sa sarili nito, ngunit dapat din itong isaalang-alang sa log, dahil may mga insidente na pinagmulta ang mga kumpanya dahil dito, at narinig ko rin ang mga kaso ng mga kasong kriminal na sinimulan.
Sa pamamagitan ng paraan, marami ang nagtatalo tungkol sa kung ano ang pagkakaiba sa pagitan ng isang pangunahing dokumento at isang pangunahing carrier. Ang isang tao ay may opinyon na ang pangunahing dokumento ay sa kanyang sarili ay isang pangunahing lalagyan o pangunahing impormasyon, at sa prinsipyo ito ay lohikal, ngunit ang paglalarawan na ibinigay ko sa itaas ay kinuha mula sa annex sa FAPSI Order ng Hunyo 13, 2001 N 152, kung saan malinaw na nakasaad na ito ay isang pisikal na midyum.
Samakatuwid, mula sa aking personal na pananaw, ito ay dapat na maunawaan bilang hindi lamang pangunahing impormasyon sa electronic form, ngunit isang pisikal na daluyan na may pangunahing impormasyon na naitala dito. Sa prinsipyo, hindi ito mahirap isaalang-alang, dahil posibleng ipahiwatig sa journal ang numero ng carrier at ang lihim na key identifier sa isang talata.
Nakadikit sa Kautusan ng FAPSI RF na may petsang Hunyo 13, 2001 N 152, makakahanap ka ng mga halimbawa ng karaniwang mga journal para sa accounting para sa proteksyon ng cryptographic na impormasyon. http://base.garant.ru/183628/#block_1000
Ang aking at hindi lamang ang aking opinyon para sa accounting ay pinakamahusay na panatilihin ang ilang mga journal:
Journal ng instance-by-instance accounting ng CIPF distribution kit.
Journal ng instance-by-instance na pagpaparehistro ng mga lisensya para sa karapatang gumamit ng CIPF.
Journal ng copy accounting ng mga pangunahing dokumento ng CIPF.
Journal ng instance-by-instance accounting ng mga hardware key carrier ng CIPF.
Sa journal ng instance-by-instance accounting ng mga distribution kit ng cryptographic information protection tool, ang CIPF ay binibilang ng mga bilang ng mga distribution kit na naitala sa form para sa produkto.
Sa copy-by-instance na rehistro ng mga lisensya para sa karapatang gumamit ng mga tool sa proteksyon ng cryptographic na impormasyon, ang mga tool sa proteksyon ng cryptographic na impormasyon ay binibilang ng mga serial number ng mga lisensya.
Sa journal ng instance-by-instance accounting ng mga pangunahing dokumento ng paraan ng proteksyon ng cryptographic na impormasyon, ang CIPF ay binibilang ng mga numero ng token (at ang mga ito ay naka-print sa bawat token) o sa pamamagitan ng mga numero ng floppy / flash drive (mga serial number ng mga volume na makikita gamit ang DIR command), ang pangalan ng crypto-container o ang serial number ng ang susi ay nakasulat din sa log na ito.
Sa journal ng instance-by-instance accounting ng hardware key carrier ng cryptographic information protection, ang mga tool sa proteksyon ng cryptographic na impormasyon ay binibilang ng mga numero ng token (at naka-print ang mga ito sa bawat token). Maipapayo na gamitin ang log na ito para lamang sa mga nakaimbak na token na dumating sa bodega, ngunit hindi ibinibigay sa sinuman at hindi naglalaman ng pangunahing impormasyon, o inilipat, ngunit walang pangunahing impormasyon.
Upang gawing simple ang accounting, sa pagtanggap isang malaking bilang CIPF, dapat kang humiling ng impormasyon ng accounting sa elektronikong paraan mula sa supplier o cryptographic na awtoridad, upang hindi manu-manong muling i-print ang mga serial number na ito.
Ang mga halimbawa ng mga log ng accounting ng CIPF ay matatagpuan sa dulo ng apendise sa pagkakasunud-sunod ng FAPSI RF na may petsang Hunyo 13, 2001 N 152.